Co to jest UK GDPR? Wyjaśniamy związek z GDPR i kluczowe punkty, które należy zrozumieć
W związku z wyjściem Wielkiej Brytanii z Unii Europejskiej, 1 stycznia 2021 roku (Rok 3 Reiwa) weszło w życie UK GDPR (Brytyjskie Ogólne Rozporządzenie o Ochronie Danych).
GDPR to regulacja UE dotycząca przetwarzania i transferu danych osobowych, a japońskie przedsiębiorstwa rozwijające swoje usługi dla klientów w UE muszą dostosować się do wymogów GDPR. UK GDPR to brytyjska wersja tego rozporządzenia.
W niniejszym artykule szczegółowo wyjaśniamy związek między GDPR a GDPR UE oraz omawiamy GDPR UE. Poznaj kluczowe punkty i przepisy prawne, które należy wziąć pod uwagę przy rozwijaniu działalności w Europie, w tym w Wielkiej Brytanii.
UK GDPR wprowadzone w związku z wyjściem Wielkiej Brytanii z UE
Wielka Brytania opuściła Unię Europejską (EU) 31 stycznia 2020 roku, a w związku z tym na podstawie ogólnego rozporządzenia o ochronie danych (GDPR) UE wprowadzono brytyjskie ogólne rozporządzenie o ochronie danych (UK GDPR).
W świetle GDPR UE, Wielka Brytania stała się “krajem trzecim”, a brytyjskie firmy świadczące usługi dla konsumentów w UE muszą przestrzegać zarówno brytyjskiego, jak i unijnego GDPR.
| GDPR (Ogólne Rozporządzenie o Ochronie Danych UE) | Ustawa wprowadzona w 2018 roku. Wymaga podjęcia środków ochrony danych przy oferowaniu towarów lub usług osobom w UE lub monitorowaniu ich zachowań. |
| UK GDPR (Brytyjskie Ogólne Rozporządzenie o Ochronie Danych) | Ustawa wprowadzona w związku z wyjściem z UE w 2020 roku. Wymaga podjęcia środków ochrony danych przez firmy i organizacje założone w Wielkiej Brytanii oraz przy świadczeniu usług użytkownikom w Wielkiej Brytanii. |
Powiązane artykuły: Co to jest GDPR? Porównanie z prawem o ochronie danych osobowych i punkty, na które powinny zwrócić uwagę japońskie firmy[ja]
Powiązane artykuły: Jak tworzyć politykę prywatności zgodną z GDPR – wyjaśnienie kluczowych punktów[ja]
Czym jest UK GDPR?
UK GDPR (General Data Protection Regulation – Ogólne Rozporządzenie o Ochronie Danych) to zbiór przepisów określających wymagania dotyczące przetwarzania danych osobowych oraz ich transferu poza granice Wielkiej Brytanii, a także normy i obowiązki, których muszą przestrzegać podmioty przetwarzające lub transferujące dane.
Ustawa o ochronie danych z 2018 roku (Data Protection Act 2018) zaktualizowała i zastąpiła ramy prawne ustanowione przez ustawę o ochronie danych z 1998 roku. W związku z wyjściem Wielkiej Brytanii z Unii Europejskiej, na podstawie ustawy o wyjściu z UE z 2018 roku, przepisy te zostały zmienione i weszły w życie jako UK GDPR 1 stycznia 2021 roku.
UK GDPR stosuje się do przetwarzania danych osobowych, które odbywa się w ramach działalności podmiotów zarządzających lub przetwarzających dane z siedzibą na terenie Wielkiej Brytanii. Ponadto, UK GDPR ma zastosowanie również w określonych przypadkach do przetwarzania danych osobowych przez zarządzających lub przetwarzających, którzy nie posiadają siedziby na terenie Wielkiej Brytanii.
Kluczowe punkty UK GDPR, które należy znać
W tym rozdziale omówimy dwa kluczowe aspekty UK GDPR, które należy zrozumieć:
- Transfer danych osobowych
- Powołanie przedstawiciela lub agenta
Transfer danych osobowych
W kontekście transferu danych między Japonią a Wielką Brytanią, strona japońska kontynuuje stosowanie wyznaczeń opartych na artykule 24 Ustawy o Ochronie Danych Osobowych (przed zmianami wprowadzonymi przez artykuł 50 Ustawy o Tworzeniu Społeczeństwa Cyfrowego, która weszła w życie 1 kwietnia (Reiwa 4) 2022 roku, obecnie jest to artykuł 28) także po Brexicie.
Ponadto, transfer danych osobowych między Wielką Brytanią a UE może odbywać się płynnie również w okresie przejściowym, tak jak miało to miejsce dotychczas.
Dlatego też, nawet po wyjściu Wielkiej Brytanii z UE, zapewniony jest płynny transfer danych osobowych między Japonią a Wielką Brytanią.
Powołanie przedstawiciela lub agenta
Wielkobrytyjskie przedsiębiorstwa, które nie posiadają filii ani biur wewnątrz UE, muszą powołać agenta w UE i odpowiednio aktualizować powiadomienia o ochronie danych.
| Agent | Przedsiębiorstwa, które nie mają siedziby w UE, ale przetwarzają dane osobowe w UE, są zobowiązane do wyznaczenia agenta w UE. Agent koordynuje sprawy związane z przetwarzaniem danych osobowych w imieniu przedsiębiorstwa z władzami UE. |
| Przedstawiciel | Przedstawiciel jest wymagany, gdy przedsiębiorstwo z siedzibą w UE przetwarza dane osobowe w UE. Przedstawiciel ponosi odpowiedzialność za przetwarzanie danych osobowe przez przedsiębiorstwo w UE. |
Agent będzie pełnił funkcję przedstawiciela w przypadku, gdy firma posiada filię lub biuro.
Ponadto, prawo brytyjskie wymaga, aby przedsiębiorstwa z UE, które posiadają dane osobowe, ustanowiły swojego przedstawiciela w Wielkiej Brytanii.
W związku z tym, przedsiębiorstwa z siedzibą w UE muszą przeprowadzić przegląd i segregację swoich zapisów, aby ustalić, czy przetwarzane informacje podlegają regulacjom UK GDPR.
Japońskie firmy, na które ma zastosowanie UK GDPR
UK GDPR ma zastosowanie w dwóch poniższych przypadkach:
- Gdy firma ma siedzibę i prowadzi działalność na terenie Wielkiej Brytanii
- Gdy firma nie ma siedziby w Wielkiej Brytanii, ale rozwija działalność skierowaną na rynek brytyjski
W drugim przypadku UK GDPR ma zastosowanie w sytuacjach takich jak:
- Gdy japoński przedsiębiorca rozwija sklep internetowy skierowany na globalny rynek, w tym europejski
- Gdy prowadzona jest kampania marketingowa skierowana na rynek europejski
- Gdy japoński przedsiębiorca generuje przychody z rynku europejskiego
Konkretnie, UK GDPR dotyczy przypadków takich jak:
- Gdy japoński przedsiębiorca dostarcza grę mobilną graczom znajdującym się w Wielkiej Brytanii i zbiera ich imiona oraz historię płatności
- Gdy sklep internetowy umożliwia płatności w funtach, ma angielską wersję językową i wspomina o dostawach do Wielkiej Brytanii, a także zbiera adresy, imiona i informacje o kontach klientów
- Gdy japoński przedsiębiorca zarządza imionami i adresami e-mail osób znajdujących się w Wielkiej Brytanii w celu wysyłania newsletterów
- Gdy japoński przedsiębiorca zbiera i analizuje dane o lokalizacji osób znajdujących się w Wielkiej Brytanii za pomocą aplikacji
- Gdy japoński przedsiębiorca zbiera informacje z ciasteczek na stronie internetowej w celu analizy preferencji i dostarczania reklam targetowanych
- Gdy japoński przedsiębiorca zbiera i zarządza informacjami zdrowotnymi osób znajdujących się w Wielkiej Brytanii za pomocą urządzeń noszonych (takich jak smartwatche)
Poniżej znajduje się diagram przepływu zakresu stosowania UK GDPR.
Źródło: “Praktyczny podręcznik UK GDPR”[ja] | Japońska Organizacja Handlu Zagranicznego (JETRO), Oddział w Londynie, Dział Badań Zagranicznych
Trzy ryzyka związane z naruszeniem UK GDPR
W tym rozdziale przedstawimy trzy ryzyka związane z naruszeniem UK GDPR.
- Ryzyko nałożenia przez ICO wysokich kar pieniężnych i innych sankcji
- Ryzyko prawnych roszczeń o odszkodowanie od podmiotów danych i innych osób
- Ryzyko utraty zaufania w biznesie z powodu niewystarczającej ochrony danych osobowych
ICO (Information Commissioner’s Office) to niezależna instytucja brytyjska, utworzona w celu ochrony praw do informacji. W przypadku stwierdzenia naruszenia przepisów UK GDPR, ICO może nałożyć wysokie kary finansowe.
Kary mogą być bardzo wysokie, na przykład w 2019 roku brytyjskie linie lotnicze British Airways zostały ukarane karą w wysokości 183 milionów funtów (co stanowiło 1,5% rocznych przychodów globalnych British Airways).
Podobnie, międzynarodowa korporacja hotelowa Marriott International, która zarządza takimi znanymi markami jak Marriott czy Ritz-Carlton, została ukarana karą w wysokości 99 milionów funtów.
Skoro te decyzje są publikowane, ryzyko nie ogranicza się tylko do wysokich kar finansowych, ale również do spadku wartości marki. Odbudowa zaufania do marki korporacyjnej, które raz zostało utracone, jest bardzo trudna. Dlatego też, aby nie dopuścić do obniżenia siły marki, konieczna jest szczególna ostrożność w obszarze przetwarzania danych osobowych.
Podsumowanie: Konieczna jest uwaga na zmiany w UK GDPR
UK GDPR (Japońskie Ogólne Rozporządzenie o Ochronie Danych w Wielkiej Brytanii) to stosunkowo nowe prawo, które zostało zmienione 1 stycznia 2021 roku (Reiwa 3) w związku z wyjściem Wielkiej Brytanii z Unii Europejskiej.
Ponadto, w Wielkiej Brytanii stosowane są dwa rodzaje przepisów: wewnętrzne UK GDPR oraz EU GDPR, które jest stosowane w pozostałych krajach Unii Europejskiej.
Obecnie trwają wieloaspektowe przeglądy regulacji dotyczących danych osobowych. Dlatego też japońskie firmy, które już weszły na rynek brytyjski lub rynki krajów Unii Europejskiej, powinny uważnie obserwować przyszłe zmiany w UK GDPR.
Naruszenie UK GDPR może skutkować nie tylko nałożeniem wysokich kar finansowych, ale również może prowadzić do uszczerbku na reputacji korporacyjnej. Ważne jest, aby dokonać przeglądu systemów bezpieczeństwa w firmie, zmian w regulacjach i podjąć odpowiednie środki zaradcze.
Informacje o środkach zaradczych naszej kancelarii
Kancelaria Prawna Monolith posiada bogate doświadczenie w dziedzinie IT, a w szczególności w obszarze prawa internetowego. W ostatnich latach globalny biznes rozwija się w coraz szybszym tempie, co zwiększa potrzebę profesjonalnej kontroli prawnej. Nasza kancelaria oferuje rozwiązania z zakresu prawa międzynarodowego.
Obszary działalności Kancelarii Prawnej Monolith: Prawo międzynarodowe i zagraniczne przedsięwzięcia[ja]
Related Articles
Przenoszenie i wymiana punktów firmy oraz prawo płatności pieniężnych w Japońskiej Ustawie o Usł.
General Corporate
Prawne problemy, na które powinni zwracać uwagę operatorzy mediów z modelu afiliacyjnego
General Corporate
Jak różni się prawo amerykańskie od japońskiego? Punkty, które warto znać przed założeniem spółk.
General Corporate
Omówienie środków zapobiegających wyciekom informacji: Jakie powinny być treści regulaminów wewn.
General Corporate
Jak zapobiegać incydentom bezpieczeństwa u dostawców? Wyjaśnienie budowy i działania systemu kon.
General Corporate
